# System

<figure><img src="/files/lQccr94rcMEvgBFQg5bR" alt=""><figcaption></figcaption></figure>

## Fase de reconocimiento

Realizamos un escaneo de nmap para ver ante que puertos abiertos nos enfrentamos, y podemos ver que está el puerto 22 (SSH) y 80 (HTTP) abierto:

<figure><img src="/files/Fyn26tXr4sJtyZnNBw0l" alt=""><figcaption></figcaption></figure>

## Fase de intrusión

Interceptamos la solicitud de su pagina web y vemos que está haciendo una solicitud a "/magic.php" (El único archivo, ya que he hecho un ataque de fuzzing y  solo encontré ese), y así de primera vista es un archivo XML, me sugiere que quizas funcionaria un XXE (XML External Entity Injection):

<figure><img src="/files/PyQEDUNQfbCfotYzJRwC" alt=""><figcaption><p>Encontramos el usuario "david"</p></figcaption></figure>

Vemos que el XXE funciona, así que le voy a proporcionar una serie de payloads a traves del intruder, es el archivo de LFI de la Seclist, exactamente el "LFI-gracefulsecurity-linux.txt":

<figure><img src="/files/yIStUylOei3VRODGmPmb" alt=""><figcaption><p>Aseguraros de tener está opcción desactivada</p></figcaption></figure>

<figure><img src="/files/8C2R6FbuL1ZYdyYxgmB3" alt=""><figcaption></figcaption></figure>

Encuentro el archivo de ssh, lo cual me llama la atención ya que podria inciar sesión al ssh si consigo la private key:

<figure><img src="/files/3vlbDDfsKuge9f3y8Oeg" alt=""><figcaption></figcaption></figure>

Rebuscando un poco por internet, me entero de que la /id\_rsa tendra que estar a dentro del usuario, haciendo eso mismo, consigo listar la id\_rsa de david, el usuario previamente encontrado mediante el /etc/passwd, peeeero... :

<figure><img src="/files/FYk20pGjQuxYeSaed3uo" alt=""><figcaption></figcaption></figure>

Nos pide contraseña tristemente, probando con otras wordlists, he cambiado a wfuzz porque sino tardaría mucho:

<figure><img src="/files/YayHws4oDBq1KP5ptRkl" alt=""><figcaption></figcaption></figure>

Dentro de .viminfo encuentro lo siguiente:

<figure><img src="/files/2NPInK4OOohe5tekp0XE" alt=""><figcaption></figcaption></figure>

Menudo BOMBON de licor, no? Hago un curl para variar a el archivo que he encontrado que supuestamente tiene la password:

<figure><img src="/files/8BkXctGOYKR15JABOoyO" alt=""><figcaption></figcaption></figure>

## Escalada de privilegios

Usamos el id\_rsa de antes con la password obtenida y accedemos a el sistema

<figure><img src="/files/eBMlfUvt4Pw8EekzLdJg" alt=""><figcaption></figcaption></figure>

Navegando un poco, me voy al directorio "/opt" y encuentro el siguiente script en python. Y al parecer lo que está haciendo es leer la primera lineal de código de cmd.txt (el cual no existe, así que supongo que lo tendré que crear) y luego escribe un archivo en "/tmp/suid.txt":

<figure><img src="/files/F4IbO8H7iPmzjGQZqqfj" alt=""><figcaption></figcaption></figure>

Pero no tenemos permisos para ejecutarlo PERO, importe pspy64 abriéndome un server y haciendo un wget y podemos ver que se ejecuta de manera cronológica el script en python previamente enseñada

<figure><img src="/files/fkVD6czKGIDjUK5vjh3i" alt=""><figcaption></figcaption></figure>

Nos creamos un archivo en la ruta "/home/david" de nombre cmd.txt, esperamos que se ejecute y en teoria ya tendriamos que poder ejecutar la bash con permisos de root. Pero no funciona, asi que importo linpeas para ver que más podría hacer y me doy cuenta que podriamos editar el os.py, ya que lo ejecuta en el script. Así que me dispongo a ello:

<figure><img src="/files/oiaAlzeLN28ajSJ5jYRx" alt=""><figcaption></figcaption></figure>

Me pongo a la escucha con netcat y me espero a que me llegue la solicitud y ya estaría, habria obtenido permisos de root:

<figure><img src="/files/l9gqMRrEk0KweGrYeCOE" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://burple.gitbook.io/burple/hackmyvm/facil/system.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.